Apache Druid < 0.17.1 LDAP 插入
medium Nessus Plugin ID 181681
語系:
概要
遠端主機上安裝的應用程式缺少供應商提供的安全性更新。說明
讓 Apache Druid 0.17.0 中啟用 LDAP 驗證時,具有一組有效 LDAP 認證的 Druid API 呼叫者可繞過 credentialsValidator.userSearch 篩選障礙,該障礙可決定是否允許有效的 LDAP 使用者向 Druid 進行驗證。如果設定了角色型授權檢查,呼叫者仍然會受到這些檢查的限制。Druid API 的呼叫者也可以擷取存在於 LDAP 伺服器的使用者的任何 LDAP 屬性值,只要該資訊對 Druid 伺服器可見。此資訊洩漏不要求呼叫者本身是有效的 LDAP 使用者。請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 Apache Druid 0.17.1 或更新版本。另請參閱
https://lists.apache.org/thread/lpx8vxt898k60pl308q1gqbvwj9w49f3
Plugin 詳細資訊
嚴重性: Medium
ID: 181681
檔案名稱: apache_druid_0_17_1.nasl
版本: 1.1
類型: remote
系列: Misc.
已發布: 2023/9/20
已更新: 2023/9/21
組態: 啟用 Paranoid 模式
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
CVSS v2
風險因素: Low
基本分數: 3.5
時間分數: 2.7
媒介: CVSS2#AV:N/AC:M/Au:S/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2020-1958
CVSS v3
風險因素: Medium
基本分數: 6.5
時間分數: 5.9
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: cpe:/a:apache:druid
必要的 KB 項目: installed_sw/Apache Druid, Settings/ParanoidReport
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2020/4/1
弱點發布日期: 2020/4/1
參考資訊
CVE: CVE-2020-1958